聲明：該文章由作者（婭米）發(fā)表，轉(zhuǎn)載此文章須經(jīng)作者同意并請附上出處(0XUCN)及本頁鏈接。。

cPanel是管理web托管的流行管理工具的提供商，它修補了一個安全漏洞，該漏洞可能允許遠程攻擊者訪問有效憑據(jù)，繞過帳戶的兩因素身份驗證（2FA）保護。

該問題被稱為“seco -575”，由Digital Defense研究人員發(fā)現(xiàn)，該公司在軟件的11.92.0.2、11.90.0.17和11.86.0.32版本中對其進行了修復(fù)。

cPanel和WHM（Web主機管理器）提供了一個基于Linux的控制面板，供用戶處理網(wǎng)站和服務(wù)器管理，包括添加子域、執(zhí)行系統(tǒng)和控制面板維護等任務(wù)。到目前為止，使用cPanel的軟件套件在服務(wù)器上啟動了超過7000萬個域。

該問題源于在登錄期間2FA缺乏速率限制，從而使得攻擊者能夠使用暴力方法反復(fù)提交2FA代碼并繞過身份驗證檢查。

Digital Defense研究人員表示，這種攻擊可以在幾分鐘內(nèi)完成。

“雙因素身份驗證cPanel安全策略沒有阻止攻擊者重復(fù)提交雙因素身份驗證代碼，”cPanel表示，“這使得攻擊者能夠使用暴力技術(shù)繞過雙因素身份驗證檢查。”

為了解決這個問題，該公司在cPHulk蠻力保護服務(wù)中加入了速率限制檢查，如果2FA代碼驗證失敗，就會被視為登錄失敗。

這已經(jīng)不是第一次因為沒有限制速率而引發(fā)嚴重的安全問題了。

早在今年7月，視頻會議應(yīng)用Zoom修復(fù)了一個安全漏洞，該漏洞可能使?jié)撛诠粽咂平庥糜谠谄脚_上保護私人會議的數(shù)字密碼，并監(jiān)聽參會者。

我們建議cPanel的用戶使用補丁來降低與該漏洞相關(guān)的風(fēng)險。

?

消息及封面來源：The Hacker News?；譯者：芋泥啵啵奶茶。

本文由?HackerNews.cc?翻譯整理。

[超站]友情鏈接：

四季很好，只要有你，文娛排行榜：https://www.yaopaiming.com/
關(guān)注數(shù)據(jù)與安全，洞悉企業(yè)級服務(wù)市場：https://www.ijiandao.com/